Die Regelungsbereiche des am 11. Januar 2024 in Kraft getretenen Data Act sind mannigfaltig und umfassen insbesondere die Regelungen zur Verwendung von IoT-Daten. Der Nutzer eines IoT-Geräts (z.B. der Inhaber eines vernetzten Kfz – das kann auch ein Unternehmen sein) soll zukünftig über die Verwendung der bei der Nutzung entstehenden Geräte- und Dienstdaten (z.B. Sensor-, Status oder Protokolldaten) entscheiden können. Der sog. „Dateninhaber“ (z.B. der Fahrzeughersteller mit Zugriff auf diese Daten) darf diese Daten nur noch aufgrund eines entsprechenden Vertrags mit dem Nutzer verwenden und weitergeben. Auf der anderen Seite darf der Nutzer vom Dateninhaber verlangen, dass diese Daten an vom Nutzer bestimmte Dritte (sog. „Datenempfänger“, z.B. eine Telematik-Versicherung) bereitgestellt werden. Die Bereitstellung soll unverzüglich, einfach, sicher, für den Nutzer unentgeltlich, in einem gängigen und maschinenlesbaren Format und, falls relevant und technisch durchführbar, kontinuierlich und in Echtzeit erfolgen. Der Data Act enthält für diese Vertragsbeziehungen dann auch Mindestanforderungen, z.B. müssen die Bedingungen zwischen dem Dateninhaber und dem Datenempfänger fair, angemessen, nichtdiskriminierend und transparent sein. Im Verhältnis zum Nutzer schreibt der Data Act umfangreiche Informationspflichten vor. Der Data Act führt auch eine AGB-Kontrolle für Datenverträge ein, die missbräuchliche Klauseln (z.B. Haftungsausschlüsse für grobes Verschulden) verhindern sollen.
Warum ist das relevant für Startups?
Der Data Act führt Regelung in Bezug auf die Verwendung von Daten ein, die bei der Nutzung von IoT-Geräten und damit verbundenen Diensten entstehen. Unternehmen, die mit solchen Daten umgehen, werden sich an diese Vorgaben halten müssen. Gleichzeitig dienen die Regelungen gerade auch dem Zweck, die Verfügbarkeit solcher Daten in der Wirtschaft zu verbessern, um den Markt an IoT-bezogenen Diensten zu fördern. Zudem enthält der Data Act für kleine und mittlere Unternehmen wie Start-ups einige Erleichterungen und Vorteile. Unternehmen, die sich hier auskennen und vorhandene Chancen nutzen, sind klar im Vorteil.
Die meisten Regelungen des Data Act gelten ab dem 12.09.2025 – das ist nicht viel Zeit, um sich auf die neue Rechtslage einzustellen. Das beschriebene Dreiecksverhältnis zwischen Nutzer, Dateninhaber und Datenempfänger ist auch komplex und gewöhnungsbedürftig. Es gewinnt noch dadurch an Komplexität, dass diese Rollen in Bezug auf denselben Sachverhalt auch mehrfach besetzt sein können. So kann z.B. der Fahrzeughersteller neben dem Anbieter eines Navigationssystems Dateninhaber sein, genauso wie neben dem Car-Sharing-Anbieter auch der einzelne Fahrer Nutzer sein kann. Aber der Data Act sieht für Start-ups bestimmte Erleichterungen vor. So gelten die Pflichten zur Datenherausgabe nur eingeschränkt für Daten, die bei der Nutzung von vernetzten Produkten generiert werden, die von einem Klein- oder Kleinstunternehmen hergestellt oder konzipiert werden.
Welche Vorgehensweise empfiehlt sich für Startups?
Start-ups sollten sich vor dem Hintergrund der Regelungen im Data Act Klarheit über die Rolle(n) verschaffen, die sie im Rahmen ihrer Geschäftsmodelle in dem Dreiecksverhältnis zwischen Nutzer, Dateninhaber und Datenempfänger einnehmen (können) und welche Rechte und Pflichten in diesem Fall auf sie anwendbar sind. Insbesondere werden sie identifizieren müssen:
(a) Welche der verwendeten Daten unter die entsprechenden Regelungen des Data Act fallen, denn während Rohdaten und unwesentlich aufbereitete Daten umfasst sind, ist dies bei mit wesentlichen Investitionen „veredelten“ Daten nicht der Fall. Auch werden sich die Unternehmen Strategien zur möglichen Trennung von personenbezogenen Daten von anderen Daten überlegen müssen, denn die Herausgabepflicht unter dem Data Act kann ggf. einem Verarbeitungsverbot unter der DSGVO zuwiderlaufen.
(b) Welche Pflichtinhalte und Einschränkungen ergeben sich aus dem Data Act für Verträge, die die Nutzung und die Weitergabe von Daten regeln?
Darüber hinaus sollten Start-ups den Data Act als Chance sehen. Überlegt euch, welche „fremden“ IoT-Daten für euch interessant wären, und entwickelt Strategien, wie man Nutzer zur Bereitstellung solcher Daten anregen kann (z.B. durch Informationsmaterial, aktive Ansprache, finanzielle oder andere Anreize etc.). Überlegt auch, ob sich neue Geschäftsmöglichkeiten aus den perspektivisch besser verfügbaren Gerätedaten ergeben.
Aufzeichnung des Legal Lunches am 30. Mai 2024:
Disclaimer:
Die Inhalte auf dieser Webseite spiegeln ausschließlich die fachliche Auffassung des Counsels Stephan Kreß der Kanzlei Morrison & Foerster zum Zeitpunkt der Veröffentlichung wider. Die Inhalte stellen eine allgemeine unverbindliche Information dar, welche insbesondere nicht den besonderen Umständen des Einzelfalles Rechnung tragen können. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers bzw. der Leserin.
